องค์กรหลายแห่งใช้ Microsoft Exchange เป็นช่องทางหลักในการทำงานและการสื่อสาร ไม่ว่าจะเป็นอีเมล ปฏิทิน หรือใช้บันทึกข้อมูลพนักงานและผู้ติดต่อ ที่ผ่านมาเซิร์ฟเวอร์ Exchange มักตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ จุดประสงค์เพื่อขโมยข้อมูลหรือเข้าถึงบัญชีที่มีสิทธิ์ระดับสูง ซึ่งหลายครั้งหากโจมตีเซิร์ฟเวอร์ Exchange ได้สำเร็จ ผู้ไม่หวังดีก็อาจสามารถควบคุมระบบเครือข่ายทั้งหมดได้ ทาง Microsoft ได้เผยแพร่ข้อแนะนำในการป้องกันเซิร์ฟเวอร์ Exchange โดยอ้างอิงจากรูปแบบพฤติกรรมของผู้โจมตี
การโจมตีเซิร์ฟเวอร์ Exchange นั้นหลัก ๆ แล้วสามารถทำได้ 2 ช่องทาง โดยช่องทางแรกคือโจมตีเครื่องคอมพิวเตอร์ของผู้ใช้ในองค์กรเพื่อติดตั้งมัลแวร์ขโมยรหัสผ่าน จากนั้นใช้รหัสผ่านดังกล่าวล็อกอินเข้าไปยังเซิร์ฟเวอร์ Exchange อีกที ส่วนวิธีโจมตีช่องทางที่สองคือเจาะผ่านช่องโหว่ของบริการในเซิร์ฟเวอร์ Exchange โดยตรง เช่น ช่องโหว่ของ IIS ซึ่งเป็นซอฟต์แวร์สำหรับให้บริการเว็บไซต์
ทาง Microsoft ได้วิเคราะห์การโจมตีเซิร์ฟเวอร์ Exchange ที่เกิดขึ้นในช่วงเดือนเมษายน 2563 โดยได้สรุปแนวทางการตรวจสอบและป้องกันการโจมโดยอ้างอิงจากพฤติกรรมที่ผิดปกติได้ดังนี้
Initial access
- ผู้โจมตีอัปโหลดไฟล์ web shell เข้าไปไว้ในพาธของเซิร์ฟเวอร์ Exchange เพื่อที่จะเข้ามาควบคุมเครื่องเซิร์ฟเวอร์ผ่านช่องทางดังกล่าวในภายหลัง
- แนวทางการตรวจสอบสามารถใช้วิธีเฝ้าระวังและแจ้งเตือนการสร้างไฟล์ใหม่ในพาธของ Exchange เนื่องจากไฟล์ในพาธดังกล่าวไม่ควรมีการเปลี่ยนแปลงเองโดยผู้ดูแลระบบไม่ได้ดำเนินการ
Reconnaissance
- หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีจะรันคำสั่งเพื่อรวบรวมข้อมูลของระบบ เช่น ตรวจสอบระดับสิทธิ์ของผู้ใช้ที่ล็อกอินอยู่ หรือข้อมูลไอพีของเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่าย โดยในบางกรณีผู้โจมตีอาจรันคำสั่งของ Exchange management shell เพื่อรวบรวมข้อมูลสภาพแวดล้อมอื่น ๆ ด้วย เช่น บัญชีอีเมลที่ให้บริการ
- ในขั้นตอนนี้อาจปรากฎคำสั่งที่ผู้โจมตีใช้ในการรวบรวมข้อมูล รวมถึงอาจมีประวัติการเรียกโพรเซส เช่น PowerShell ด้วย
Persistence
- หากเซิร์ฟเวอร์ Exchange มีการตั้งค่าให้สามารถล็อกอินได้ด้วยสิทธิ์ของผู้ดูแลระบบ ผู้โจมตีอาจสร้างบัญชีผู้ใช้ใหม่เพิ่มขึ้นมาเพื่อใช้ล็อกอินในภายหลัง หรืออาจใช้วิธีติดตั้งเครื่องมือประเภท remote access เพื่อใช้เชื่อมต่อ
- แนวทางการตรวจสอบอาจใช้วิธีตรวจสอบบัญชีผู้ใช้ที่ผิดปกติหรือพอร์ตที่เซิร์ฟเวอร์เปิดให้เข้าถึงได้
Credential access
- ในบางครั้งการรวบรวมข้อมูลบัญชีผู้ใช้จากเซิร์ฟเวอร์ Exchange อาจได้ข้อมูลที่สามารถใช้ล็อกอินเป็นผู้ดูแลระบบ domain ได้ ทาง Microsoft พบการโจมตีเพื่อขโมยข้อมูล SAM จาก Registry, ขโมยข้อมูล LSASS จากแรม, หรือใช้งานโปรแกรม Mimikatz เพื่อรวบรวมรหัสผ่าน
- การสังเกตความผิดปกติอาจดูได้จากล็อกการรวบรวมข้อมูล หรือล็อกการส่งไฟล์จากเซิร์ฟเวอร์ออกไปยังเครื่องคอมพิวเตอร์ภายนอก
Lateral movement
- หลังจากที่รวบรวมข้อมูลบัญชีผู้ใช้และรหัสผ่านได้แล้ว ผู้โจมตีก็จะนำข้อมูลนั้นไปล็อกอินเข้าใช้งานคอมพิวเตอร์เครื่องอื่นในเครือข่ายต่อผ่านช่องทาง WMI, Schedule Task, หรือ PsExec ทั้งนี้ในบางกรณีอาจมีการสั่งปิดโปรแกรมแอนติไวรัสหรือระบบความมั่นคงปลอดภัยของเครื่องปลายทางด้วยเพื่อไม่ให้มีการแจ้งเตือน
- แนวทางการตรวจสอบความผิดปกติอาจดูได้จากประวัติการล็อกอิน ล็อกการเชื่อมต่อเครือข่าย หรือการรันโปรแกรมที่น่าสงสัย
Collection
- ทาง Microsoft พบการใช้ Exchange management shell เพื่อ export อีเมลของเป้าหมายแล้วส่งข้อมูลดังกล่าวออกไปยังเครือข่ายภายนอก โดยในบางกรณีอาจมีการใช้ PowerShell ร่วมด้วย
- การตรวจสอบและเฝ้าระวังการ export อีเมลจากเซิร์ฟเวอร์อาจช่วยแจ้งเตือนพฤติกรรมผิดปกติได้
Exfiltration
- อีเมลหรือข้อมูลอื่น ๆ ที่ผู้โจมตี export ออกมาจากเซิร์ฟเวอร์จะถูกบีบอัดเพื่อรวมเป็นไฟล์เดียว โดยอาจตั้งชื่อไฟล์หลอกและวางไฟล์ดังกล่าวไว้ในพาธที่ผู้ดูแลระบบอาจไม่ได้สังเกต เช่น ตั้งชื่อไฟล์เป็น .tmp หรือหลอกว่าเป็นไฟล์ log
ข้อแนะนำแนวทางการป้องกัน
- ติดตั้งแพตช์ความมั่นคงปลอดภัยเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการโจมตีช่องโหว่
- ติดตั้งแอนติดไวรัสและเปิดใช้งานระบบความมั่นคงปลอดภัยเพิ่มเติม เช่น MFA และ firewall รวมถึงตั้งค่าบล็อคพฤติกรรมที่อาจเป็นอันตราย เช่น PsExec หรือ WMI
- ทบทวนสิทธิ์และตรวจสอบประวัติการใช้งานของบัญชีที่สามารถล็อกอินเข้ามายังเซิร์ฟเวอร์ได้
- ควรใช้บัญชีผู้ดูแลระบบแบบจำกัดสิทธิ์เท่าที่จำเป็น ไม่ควรใช้งานในลักษณะบัญชีเดียวเข้าถึงทุกระบบได้ทั้งหมด
- เฝ้าระวังการโจมตีและจัดลำดับความสำคัญของการแจ้งเตือนที่เป็นอันตราย
ทั้งนี้ ผู้ที่สนใจสามารถศึกษารายละเอียดและข้อแนะนำอื่น ๆ ได้จากบทความฉบับเต็ม
———————————————————-
ที่มา : ThaiCERT / 25 มิถุนายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-06-25-01.html?fbclid=IwAR2Qtoz-CYZkk9A1SYfkGILOPj-GZCP7Ril5UIOh0LLXJAqEKcgzExY1GIc#2020-06-25-01
